Successful exploitation of this vulnerability may allow for the execution of commands on the device at any privilege level, up to and including privilege level 15. Le succès de l'exploitation de cette vulnérabilité mai pour permettre l'exécution de commandes sur l'appareil à tout niveau de privilège, jusques et y compris le niveau de privilège 15. Accessing the device at privilege level 15 would enable total control of the device, including but not limited to device configuration changes and device reloading. Accès à l'appareil au niveau de privilège 15 permettrait un contrôle total du dispositif, y compris mais sans s'y limiter, les changements de configuration appareil et dispositif de rechargement.

The Cisco Router Web Setup tool (CRWS) provides a Web interface for configuring Cisco SOHO and Cisco 800 series routers which allows users to set up their routers. Le routeur Cisco outil Web de configuration (CRWS) fournit une interface Web pour la configuration de Cisco SOHO et Cisco série 800 routeurs qui permet aux utilisateurs de créer leurs routeurs. The GUI is accessed through the Cisco IOS HTTP server, which is enabled on the default IOS configuration shipped with the CRWS application. L'interface est accessible via le Cisco IOS serveur HTTP, qui est activé par défaut sur l'IOS de configuration livré avec l'application CRWS.

The Cisco IOS HTTP server uses the enable password (assuming one has been configured) as its default authentication mechanism. Cisco IOS Le serveur HTTP utilise le mot de passe permettre (en supposant un a été configuré) comme mécanisme d'authentification par défaut. Other authentication mechanisms can be configured, including the use of a local user database, an external RADIUS (Remote Authentication Dial In User Service) or an external TACACS+ (Terminal Access Controller Access Control System) server. D'autres mécanismes d'authentification peuvent être configurés, y compris l'utilisation d'une base de données utilisateur local, un externe RADIUS (Remote Authentication Dial In User Service) ou un externe TACACS + (Terminal Access Controller Access Control System) serveur. The default IOS configuration shipped with the CRWS application does not include an enable password or an enable secret command, allowing access to the Cisco IOS HTTP server interface at any privilege level, up to and including privilege level 15, without providing authentication credentials. L'IOS de configuration par défaut fourni avec le CRWS demande ne comporte pas un mot de passe ou de permettre à permettre un secret de commande, permettant l'accès à Cisco IOS serveur HTTP interface à n'importe quel niveau de privilège, jusques et y compris le niveau de privilège 15, sans fournir d'authentification. Privilege level 15 is the highest privilege level on Cisco IOS devices. 15 niveau de privilège est le plus haut niveau de privilège sur Cisco IOS dispositifs.

Use the Utilisez le flowchart organigramme to determine if you are vulnerable. afin de déterminer si vous êtes vulnérables.
Bug ID Bug ID